中山大学附属第一医院(以下简称“中山一院”)地处广东省省会广州市，是国家重点大学中山大学附属医院中目前规模和综合实力名列前茅的附属医院。医院始建于1910年，前身为广东公医医学专门学校附设公医院，历经百年沧桑磨砺，2001年更名为中山大学附属第一医院，现为国家三级甲等医院和国家爱婴医院。本刊采访到了在首届“新华三杯”中国医疗机构网络安全攻防演练大赛中荣获“一等奖”的中山一院信息数据中心张武军主任，听他探讨了中山一院的信息化建设相关经验。

　　据统计，医院本部共有职工5584人，开放床位2716张。2019年医院门急诊量达343.8万人次，住院手术人次11.04万例，出院人次达13.03万例，平均住院日7.1天，说明医院信息化安全稳定运行对医院正常运作来说起着至关重要的作用，医院信息化的建设很大程度上可赋能医院管理，提升医院服务质量，并且有效降低诊疗成本。张武军指出，中山一院一直以来重视信息化和信息安全建设，随着国家陆续出台了《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《医院网络安全等级保护(2.0)》(以下简称《等级保护2.0》)、《数据安全法》、《中华人民共和国个人信息保护法》等系列重要的网络安全法规、标准，进一步为医院的网络安全建设指明了方向。

　　医院信息系统在医院运营中占有很重要的地位，系统的安全性和稳定性关系到医院各个部门的工作是否可以顺利展开，同时也关系到患者的就医质量。中山一院按照法规要求，不断完善网络安全保障体系，建立了网络安全组织体系、管理体系、技术体系，使医院的网络安全整体能力得到提升。现今，网络安全形势越发严峻，以勒索病毒为代表的新型攻击手段，对医院造成了严重威胁，并伴随着“云、大、物、移、智”等新技术的不断应用，医院的网络安全呈现出边界泛化、系统智能化、数据海量化等特点，网络安全工作面临许多新挑战。医院以“风险可控、安全合规”为指导思想，开展了一系列网络安全防护措施。

　　三大阶段 安全防护治理

　　夯实基础 医院基本解决业务连续性的问题，并具有自主可控的安全运维能力。通过建立网络安全体系，实现网络安全合规，并补足安全治理工作，部署安全防护设备。

　　重点治理 医院在夯实基础的条件下，进一步就网络安全关键领域以及重要工作进行优化完善和建设。

　　全面完善 在重点治理的前提下，医院查漏补缺，形成较为完善的网络安全建设体系，尽可能确保医院信息系统具有高可用性，并实现安全防护措施持续优化运行。

　　五大步骤 信息化建设运筹帷幄

　　开展医院信息化各项现状调研

　　医院根据《等级保护2.0》要求对医院网络安全管理机构、安全管理人员、安全管理制度、安全工作管理、全员安全内控等管理方面的现状，以及医院网络安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、新技术安全等技术方面的现状进行调研，对医院的网络安全成熟度进行了评估，并对物理环境、信息系统、网络情况、资产情况、数据等进行了系统化的整理。

　　全方位风险评估识别风险域

　　随着医疗信息系统的逐渐增多，关于医疗信息系统风险评估的问题也逐渐被关注。医院按照风险评估方法论，对院内的网络安全工作进行了全方位的风险评估，识别出了40多项重要风险，经过反复论证，排出风险治理的优先级，并计划下一步治理方法。

　　开展信息基础与网络安全改造

　　通过风险评估及风险治理优先级分析，医院业务连续性风险位列第一。由于中山一院历史悠久，网络分区简单、网络单点多、缺乏容灾备份能力等，导致医疗业务连续性风险居高不下，制约其他网络安全工作的开展。

　　治理重点领域解决深层次问题

　　随着医院信息基础与网络安全改造实施，医疗业务连续性等问题得到很大改善。但如何实现全方位的网络安全治理，解决责权不清晰、机制不灵活、工作效率不高等问题，也成为今后医院重要工作的内容之一。采取手段主要包括终端治理、资产治理、病毒治理、数据治理、上网治理、安全运维工作治理等。

　　建设网络安全治理支撑平台

　　中山一院正在建设网络安全运营体系，形成医院自身的治理需求，目前正稳步进行治理平台的开发工作。

　　《等级保护 2.0 》标准颁布后，如何实现持续对抗网络攻击的安全能力，保障医疗数据信息安全，确保医疗服务稳定开展成了今后工作的重中之重。中山一院专门组织精细学习，新标准从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护，为网络安全保障体系建设提供了重要指导。医院按照《等级保护2.0》的要求，进行了相应的调整，目前医院信息平台、医疗数据上报平台已按《等级保护2.0》标准整改，并通过三级等保测评。

　　对于本次“新华三杯”中国医疗机构网络安全攻防演练大赛，张武军表示，通过这次比赛，检验和提升了队伍能力，中山一院虽取得了一定成绩，这点值得肯定，但也是一个新的开始，在构建医院信息化安全运营体系的过程中，深刻意识到人才是核心，推动医院信息化发展的关键因素是离不开信息化人才的保障。

　　据悉，中山一院正在开展智慧医院、互联网医院、医联体等方面建设，同时、云计算、大数据、物联网、人工智能、移动互联网、区块链等新技术都在加速应用中。今后医院还将继续构建一体化能力和协同化能力。一体应对，协同作战，并加强新技术的风险管控，完善欠缺的安全防护手段，强化安全运营能力，全面保障医院信息化安全和患者就医质量。

　　文章来源：《中国数字医学》杂志社 何亨 责任编辑：亦欣

　　声明：本文著作权归原作者所有，在此向原作者表示感谢。除非无法确认，本网都会注明作者及来源。如有侵权请及时告知。